Ler em inglês

Partilhar via


Windows 365 arquitetura

Windows 365 fornece um modelo de licença por utilizador por mês, hospedando PCs Cloud em nome dos clientes em Microsoft Azure. Neste modelo, não há necessidade de considerar armazenamento, arquitetura de infraestrutura de cálculo, ou custos. A arquitetura Windows 365 também permite utilizar os seus investimentos existentes em networking e segurança Azure. Cada Pc Cloud está ligado a uma rede virtual Azure que configura na secção Windows 365 do centro de administração Microsoft Endpoint Manager.

Conectividade de rede virtual

Cada Cloud PC tem um cartão de interface de rede virtual (NIC) em Microsoft Azure. Os NICs virtuais são criados por Windows 365 na sua subscrição Azure. Estão ligados a uma Rede Virtual Azure baseada na configuração da sua ligação de rede no local (OPNC).

Windows 365 é apoiado em várias regiões de Azure. Você controla a região de Azure usada selecionando uma rede virtual Azure a partir da sua assinatura Azure ao criar um OPNC. A região da rede virtual Azure determina onde o Pc Cloud é criado e hospedado.

Você pode aproveitar a rede virtual Azure olhando ou VIRTUAL WAN para estender o acesso entre as regiões de Azure que você usa atualmente para uma ou mais regiões Windows 365 Azure apoiadas.

Ao utilizar o Azure Networking, Windows 365 permite utilizar funcionalidades de segurança e encaminhamento de Rede Virtual, incluindo:

Gorjeta

Para filtragem web e proteção de rede para computadores cloud, considere usar as funcionalidades de Proteção de Rede e Proteção Web do Microsoft Defender para Endpoint. Estas funcionalidades podem ser implementadas em pontos finais físicos e virtuais utilizando o centro de administração Microsoft Endpoint Manager.

integração Microsoft Endpoint Manager

Microsoft Endpoint Manager é usado para gerir todos os seus Computadores Cloud. Microsoft Endpoint Manager e componentes Windows associados têm uma variedade de pontos finais de rede que devem ser permitidos através da Rede Virtual. Os pontos finais da Apple e do Android podem ser ignorados com segurança se não utilizar Microsoft Endpoint Manager para gerir esses tipos de dispositivos.

Gorjeta

Certifique-se de que permite o acesso aos Serviços de Notificação Windows (WNS). Pode não notar imediatamente um impacto se o acesso estiver bloqueado. No entanto, a WNS permite que Microsoft Endpoint Manager desencadeiem imediatamente ações nos pontos finais Windows em vez de esperarem por intervalos normais de votação política nesses dispositivos ou sondagens políticas no comportamento de arranque/início. A WNS recomenda conectividade direta do cliente Windows à WNS.

Só precisa de ter acesso a um subconjunto de pontos finais baseado na sua localização Microsoft Endpoint Manager inquilino. Para encontrar a sua localização de inquilino (ou Unidade de Escala de Azure (ASU)), inscreva-se no centro de administração Microsoft Endpoint Manager,escolha detalhes da administração do inquilino. > Sob a localização do Inquilino, você verá algo semelhante a "América do Norte 0501" ou "Europa 0202". As linhas da documentação Microsoft Endpoint Manager são diferenciadas por região geográfica, como indicado pelas duas primeiras letras nos nomes (na = América do Norte, eu = Europa, ap = Ásia-Pacífico). Como os inquilinos podem ser realojados dentro de uma região, o melhor é permitir o acesso a uma região inteira em vez de um ponto final específico naquela região.

Para obter mais informações sobre Microsoft Endpoint Manager regiões de serviço e informações sobre localização de dados, consulte o armazenamento e processamento de dados no Intune.

Serviços de identidade

Windows 365 utiliza Microsoft Azure Ative Directory (Azure AD) e no local Serviços de Domínio de Diretório Ativo (DS AD). O Azure AD fornece a autenticação do utilizador para Windows 365 (como em qualquer outro serviço Microsoft 365), juntamente com os serviços de identidade do dispositivo para Microsoft Endpoint Manager através da Hybrid Azure AD Join. O AD DS fornece um domínio no local para os PCs cloud, juntamente com a autenticação do utilizador para a ligação Remote Desktop Protocol (RDP).

Azure AD

O Azure AD fornece autenticação e autorização do utilizador tanto para o portal web Windows 365 como para as aplicações de clientes remote desktop. Ambos suportam a autenticação moderna, o que significa que o Acesso Condicionado AZURE AD pode ser integrado para fornecer:

  • autenticação multi-factor
  • restrições baseadas na localização
  • gestão de risco de inscrição
  • Limites de sessão, incluindo:
    • frequência de entrada de dados para clientes de ambiente de trabalho remoto e o portal web Windows 365
    • persistência de cookies para o portal web Windows 365
  • controlos de conformidade do dispositivo

Para obter mais informações sobre como utilizar o Acesso Condicional AD Ad Azure com Windows 365, consulte políticas de acesso condicional definidos.

Active Directory Domain Services

Windows 365 requer que os Computadores cloud sejam unidos a um domínio DS AD. Este domínio deve ser sincronizado com Azure AD. Os controladores de domínio podem ser hospedados em Azure ou no local. Se for hospedada no local, a conectividade deve ser estabelecida desde Azure até ao ambiente no local. A conectividade pode ser na forma da Rota Expresso Azure ou de uma VPN local-local. Para obter mais informações sobre a conectividade da rede híbrida, consulte implementar uma rede híbrida segura. A conectividade deve permitir a comunicação dos Computadores cloud aos controladores de domínio exigidos pelo Ative Directory. Para obter mais informações, configuure firewall para domínio e fidedignidades AD.

"Hospedado em nome" da arquitetura

A arquitetura "hospedada em nome" permite serviços Microsoft, depois de delegadas permissões apropriadas e cuidadas a uma rede virtual por um proprietário de subscrição, anexar os serviços Azure hospedados a uma subscrição de clientes. Este modelo de conectividade permite que um serviço Microsoft forneça serviços licenciados de software como um serviço e utilizadores em oposição aos serviços baseados no consumo padrão.

Toda a conectividade cloud PC é fornecida pelo cartão de interface de rede virtual. A arquitetura "hospedada em nome" significa que os PCs cloud existem na subscrição detida pela Microsoft. Por conseguinte, a Microsoft incorre nos custos de funcionamento e gestão desta infraestrutura.

Windows 365 gere a capacidade e disponibilidade na região no Windows 365 subscrições. Windows 365 determina o tamanho e o tipo de VM com base na licença que atribui ao utilizador. Windows 365 determina que a região de Azure acolhe os seus PCs cloud com base na rede virtual que seleciona ao criar uma ligação de rede on-prem.

Windows 365 alinha-se com Microsoft 365 políticas e disposições de proteção de dados. Os dados dos clientes dentro dos serviços de nuvem empresarial da Microsoft estão protegidos por uma variedade de tecnologias e processos:

  • Várias formas de encriptação.
  • Isolado logicamente de outros inquilinos.
  • Acessível a um conjunto limitado, controlado e seguro de utilizadores, de clientes específicos.
  • Garantido para acesso utilizando controlos de acesso baseados em funções.
  • Replicado em vários servidores, pontos finais de armazenamento e centros de dados para redundância.
  • Monitorizado para acesso não autorizado, consumo excessivo de recursos e disponibilidade.

Conectividade Azure Virtual Desktop

A conectividade cloud PC é fornecida pelo Azure Virtual Desktop. Não são feitas ligações de entrada diretamente da Internet para o Pc Cloud. Em vez disso, as ligações são feitas do Pc cloud para os pontos finais do Azure Virtual Desktop e de clientes de Desktop Remoto para pontos finais do Azure Virtual Desktop. Para obter mais informações sobre estas portas, consulte a lista de URL necessária para o Ambiente de Trabalho Virtual Azure. Para facilitar a configuração dos controlos de segurança da rede, utilize tags de serviço para o Azure Virtual Desktop para identificar esses pontos finais. Para obter mais informações sobre as Tags de Serviço Azure e a sua utilização na simplificação da configuração da rede virtual, consulte a visão geral das tags de serviço Azure.

Não existe qualquer requisito para configurar os seus Computadores Cloud para erosão destas ligações. Windows 365 integra perfeitamente componentes de conectividade Azure Virtual Desktop em galeria ou imagens personalizadas.

Para obter mais informações sobre a arquitetura de rede do Azure Virtual Desktop, consulte a conectividade da rede de desktop virtual Understanding Azure.

Passos seguintes

Conheça o ciclo de vida do Cloud PC.